此示例说明了为子对象分配的权限如何覆盖为父对象分配的权限。可以使用此替代行为限制用户访问清单的特定区域。

在此示例中，权限在两个不同组的两个不同对象上定义。

• PowerOnVMRole 可启动虚拟机。
• SnapShotRole 可以拍摄虚拟机快照。
• 在虚拟机文件夹上为 PowerOnVMGroup 授予 PowerOnVMRole，并将权限设置为传播到子对象。
• 在虚拟机 B 上为 SnapShotGroup 授予 SnapShotRole。

同时属于 PowerOnVMGroup 和 SnapShotGroup 的用户 1 登录。因为在层次结构中，SnapShotRole 被分配在 PowerOnVMRole 之下，所以它将在虚拟机 B 上替代 PowerOnVMRole。用户 1 可以启动虚拟机 A，但不能执行快照。用户 1 可对虚拟机 B 执行快照但无法将其启动。